Procédure de sanction simplifiée : la CNIL présente son premier bilan 2022
En 2022, une importante réforme des mesures correctrices de la CNIL a été menée, conduisant à l’adoption de premières sanctions prises dans le cadre d’une procédure simplifiée.
En janvier puis avril 2022, les procédures répressives de la CNIL ont été modifiées. Une nouvelle procédure de sanction a notamment été créée pour traiter des dossiers ne présentant pas de difficulté particulière et permettre ainsi à la CNIL de mieux agir face aux plaintes de plus en plus nombreuses reçues depuis l’entrée en application du RGPD (plus de 12 000 en 2022).
Une procédure simplifiée pour répondre aux nombreuses plaintes reçues par la CNIL
Les dossiers que la CNIL étudie sont très variables en termes de gravité, de questions juridiques soulevées, ou encore de conséquences pour les personnes. Ils appellent donc une politique répressive différenciée et une plus grande souplesse dans le recours au pouvoir de sanction de la CNIL, notamment pour répondre aux attentes d’un nombre croissant de plaignants.
Pour remplir pleinement ses missions, la CNIL ne pouvait ainsi pas limiter son action répressive aux seuls dossiers à forts enjeux, mais se devait aussi de pouvoir adopter des sanctions sur des dossiers ne présentant pas de difficulté particulière, mais pouvant néanmoins justifier une sanction.
La loi Informatique et Libertés et son décret d’application ont ainsi été modifiés pour permettre à la présidente de la CNIL, d’orienter certains dossiers vers une procédure de sanction dite simplifiée. Les critères suivants sont pris en compte pour identifier ces dossiers :
- l’existence de décisions similaires préalables ;
- les décisions précédemment rendues par la formation restreinte – l’organe de la CNIL chargé de pronconcer les sanctions ;
- la simplicité des questions de fait et de droit à trancher.
Aucun critère n’impose le renvoi automatique d’un dossier vers la procédure simplifiée : cela reste un choix de la présidente de la CNIL. Le président de la formation restreinte dispose également de la faculté de renvoyer un dossier vers une procédure de sanction ordinaire.
La procédure en pratique : les informations clés
La présidente de la CNIL saisit le président de la formation restreinte et désigne un rapporteur parmi les agents de la CNIL, qui est chargé d’instruire le dossier. La procédure de sanction simplifiée suit ensuite les mêmes étapes que la procédure de sanction ordinaire (pour les délais, la procédure contradictoire, etc.), mais ses modalités de mise en œuvre sont allégées : le président de la formation restreinte (ou un membre qu’il désigne) statue seul et aucune séance publique n’est organisée, sauf si l’organisme demande à être entendu.
Les sanctions pouvant être prononcées sont une amende d’un montant maximum de 20 000 €, une injonction avec astreinte plafonnée à 100 € par jour de retard et un rappel à l’ordre. Ces sanctions ne peuvent pas être rendues publiques.
Les premières décisions adoptées
Depuis la mise en œuvre de cette réforme, des procédures ont été engagées, conduisant à l’adoption de premières sanctions par le président de la formation restreinte en décembre 2022. Plusieurs autres procédures sont actuellement en cours et donneront lieu prochainement à des décisions.
Les amendes prononcées à ce jour s’échelonnent entre 5 000 € et 15 000 € avec, pour la moitié d’entre elles, des injontions sous astreinte (c’est-à-dire des pénalités financières en cas de retard de mise en conformité). Elles visent des acteurs divers (par exemple, une université et des médecins). Elles portent également sur des thématiques variées, et concernent tant l’utilisation de fichiers administratifs à des fins de communication politique, que la videosurveillance des salariés, le non-respect des droits des personnes ou le défaut de coopération avec la CNIL.
La plupart de ces sanctions ont pour origine des plaintes reçues par la CNIL, de même que les dossiers actuellement en cours qui visent aussi bien des acteurs publics que privés et portent sur les thématiques suivantes : le non-respect des droits des personnes, la vidéosurveillance et le défaut de coopération avec la CNIL.